Phần này cung cấp hướng dẫn về cách di chuyển từ Giao diện người dùng cũ sang Giao diện người dùng Edge bằng IDP, chẳng hạn như LDAP hoặc SAML.
Để biết thêm thông tin, hãy xem các bài viết sau:
Người có thể thực hiện quy trình di chuyển
Để di chuyển sang giao diện người dùng Edge, bạn phải đăng nhập với tư cách là người dùng đã cài đặt Edge ban đầu hoặc với tư cách là người dùng root. Sau khi bạn chạy trình cài đặt cho Giao diện người dùng Edge, mọi người dùng đều có thể định cấu hình các trình cài đặt đó.
Trước khi bắt đầu
Trước khi di chuyển từ Giao diện người dùng cổ điển sang Giao diện người dùng Edge, hãy đọc các nguyên tắc chung sau:
- Sao lưu các nút giao diện người dùng cổ điển hiện có
Trước khi cập nhật, Apigee khuyên bạn nên sao lưu máy chủ Giao diện người dùng cũ hiện có.
- Cổng/tường lửa
Theo mặc định, giao diện người dùng cũ sử dụng cổng 9000. Giao diện người dùng Edge sử dụng cổng 3001.
- Thư thoại mới
Bạn không thể cài đặt giao diện người dùng Edge trên cùng một máy ảo với giao diện người dùng Cổ điển.
Để cài đặt giao diện người dùng Edge, bạn phải thêm một máy mới vào cấu hình. Nếu muốn sử dụng cùng một máy như Giao diện người dùng cổ điển, bạn phải gỡ cài đặt hoàn toàn Giao diện người dùng cổ điển.
- Nhà cung cấp danh tính (LDAP hoặc SAML)
Giao diện người dùng Edge xác thực người dùng bằng SAML hoặc LDAP IDP:
- LDAP: Đối với LDAP, bạn có thể sử dụng một IDP LDAP bên ngoài hoặc bạn có thể sử dụng việc triển khai SymasLDAP nội bộ được cài đặt cùng với Edge.
- SAML: IDP SAML phải là một IDP bên ngoài.
Để biết thêm thông tin, hãy xem bài viết Cài đặt và định cấu hình IDP.
- Cùng một IDP
Phần này giả định rằng bạn sẽ sử dụng cùng một IDP sau khi di chuyển. Ví dụ: nếu hiện đang sử dụng một IdP LDAP bên ngoài với Giao diện người dùng cổ điển, thì bạn sẽ tiếp tục sử dụng một IdP LDAP bên ngoài với Giao diện người dùng Edge.
Di chuyển bằng IdP LDAP nội bộ
Hãy tuân thủ các nguyên tắc sau khi di chuyển từ Giao diện người dùng cũ sang Giao diện người dùng Edge trong cấu hình sử dụng chế độ triển khai LDAP nội bộ (SymasLDAP) làm IDP:
- Cấu hình liên kết gián tiếp
Cài đặt giao diện người dùng Edge bằng cách làm theo hướng dẫn này, với thay đổi sau đây đối với tệp cấu hình im lặng:
Định cấu hình LDAP để sử dụng tính năng tìm kiếm và liên kết (gián tiếp), như trong ví dụ sau:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Xác thực cơ bản cho API quản lý
Theo mặc định, chế độ xác thực cơ bản cho API vẫn hoạt động đối với tất cả người dùng LDAP khi bạn bật tính năng Đăng nhập một lần của Apigee. Bạn có thể tắt phương thức Xác thực cơ bản (không bắt buộc), như mô tả trong phần Tắt phương thức Xác thực cơ bản trên Edge.
- Xác thực OAuth2 cho API quản lý
Tính năng xác thực dựa trên mã thông báo sẽ được bật khi bạn bật tính năng đăng nhập một lần.
- Quy trình mới dành cho người dùng/mật khẩu
Bạn phải tạo người dùng mới bằng API vì các luồng mật khẩu sẽ không còn hoạt động trong giao diện người dùng Edge nữa.
Di chuyển bằng IdP LDAP bên ngoài
Hãy tuân thủ các nguyên tắc sau khi di chuyển từ Giao diện người dùng cổ điển sang Giao diện người dùng Edge trong một cấu hình sử dụng chế độ triển khai LDAP bên ngoài làm IDP:
- Cấu hình LDAP
Cài đặt giao diện người dùng Edge bằng cách làm theo hướng dẫn này. Bạn có thể định cấu hình liên kết trực tiếp hoặc gián tiếp trong tệp cấu hình im lặng.
- Cấu hình Máy chủ quản lý
Sau khi bật tính năng SSO của Apigee, bạn nên xoá tất cả các thuộc tính LDAP bên ngoài được xác định trong tệp
/opt/apigee/customer/application/management-server.propertiesvà khởi động lại Máy chủ quản lý. - Xác thực cơ bản cho API quản lý
Phương thức xác thực cơ bản hoạt động đối với người dùng máy nhưng không hoạt động đối với người dùng LDAP. Những thông tin này sẽ rất quan trọng nếu quy trình CI/CD của bạn vẫn sử dụng phương thức Xác thực cơ bản để truy cập vào hệ thống.
- Xác thực OAuth2 cho API quản lý
Người dùng LDAP chỉ có thể truy cập vào API quản lý bằng mã thông báo.
Di chuyển bằng một IdP SAML bên ngoài
Khi di chuyển sang giao diện người dùng Edge, hướng dẫn cài đặt cho SAML IDP sẽ không thay đổi.